Struts2(1)-Web中登录权限验证思路

最新推荐文章于 2024-10-15 22:00:43 发布
最新推荐文章于 2024-10-15 22:00:43 发布
阅读量890 收藏 1
点赞数
分类专栏: Web开发 文章标签: struts interceptor session spring acegi filter

做登录页面的demo,输入正确的id+pwd就返回成功了。可是这种模式无法阻止通过URL直接访问其他的页面,在一个非玩具系统中,控制未登录用户的页面访问权限是一个基本功能。

从实现思路讲,验证一个用户的有效登录,大多采用的是登入时候向Session写一个User认证信息,然后在访问每个页面前来判断Session中是否有认证信息。

if(session.get("User")==null

 

另外有很多网站提供记住登陆信息xx天,这种是结合了Cookie的认证信息存储。谈到这里,也可以仔细想想Cookie和Session的作用。比如卓越的购物车就是Cookie做的(因为关闭IE后再访问购物车还记得你的物品),而大多数群集Web服务器的信息也是采用Cookie(因为群集的Session同步开销很大),掌握了Cookie和Session的基本特性,这些都是理所当然的做法了。

一。下面说第一种拦截实现:基于javax.servlet.Filter

1.首先需要到web.xml注册一个filter

(这里是将authorityFilter这个类委托给spring来代理

<!-- authority filter proxy -->
<filter>   
        <filter-name>authorityFilter</filter-name>   
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>   
        <init-param>   
              <param-name>targetFilterLifecycle</param-name>   
              <param-value>true</param-value>   
        </init-param>   
 </filter>   
     <filter-mapping>
        <filter-name>authorityFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.写authorityFilter类(基于URL字符串的过滤实现) 

public class AuthorityFilter extends HttpServlet implements Filter ...{
    private static final long serialVersionUID = 1L;
    private static final Log log=LogFactory.getLog(AuthorityFilter.class);
    public void init(FilterConfig arg0) throws ServletException ...{
        //do something
    }
    public void doFilter(ServletRequest sRequest, ServletResponse sResponse,    
            FilterChain filterChain) throws IOException, ServletException ...{
        HttpServletRequest request = (HttpServletRequest) sRequest;    
        HttpServletResponse response = (HttpServletResponse) sResponse;    
        HttpSession session = request.getSession();    
        String url=request.getServletPath();
        String contextPath=request.getContextPath();
        if(url.equals("/admin"))url+="/";
        if(log.isDebugEnabled())
                log.debug("-----------------------"+url);
        if((url.startsWith("/admin/")&&!url.startsWith("/admin/login")))...{//若访问后台资源
             Administartor adminUser=(Administartor)
                                     session.getAttribute(Constants.SESSION_ADMINISTRATOR);
             if(adminUser==null)...{//转入管理员登陆页面
                  response.sendRedirect(contextPath+"/admin/login!input.action");
                  return;
             }
        }
          filterChain.doFilter(sRequest, sResponse);  
    }
}

二。第二种权限过滤是基于struts2中Interceptor的概念

1.写过滤器类AuthorityInterceptor

public class AuthorityInterceptor extends AbstractInterceptor...{

    @Override
    public String intercept(ActionInvocation invocation) throws Exception ...{
        
        ActionContext ctx = invocation.getInvocationContext();
        Map session = ctx.getSession();
        //未登录,返回输入
        if(session.get("user")==null) ...{
            return "input";
        }
        //否则通过拦截
        return invocation.invoke();
    }

}

2.配置result结果

将自己写的拦截器和defaultStack组合成myStack,并且配置成默认拦截器!为了避免拦截登录页面,将登陆Action显式的配置<interceptor-ref name="defaultStack"/>,从而不使用默认的myStack拦截自己。

<struts>
    <package name="webMail" extends="struts-default" namespace="/webMail">
    <interceptors>
        <interceptor name="authority" class="com.decentsoft.commons.security.AuthorityInterceptor"/>
        <interceptor-stack name="myStack">
            <interceptor-ref name="defaultStack"/>
            <interceptor-ref name="authority"/>
        </interceptor-stack>
    </interceptors>
    <default-interceptor-ref name="myStack"></default-interceptor-ref>
    <global-results>
        <result name="input" type="redirect">/WEB-INF/page/webMail/portal.jsp</result>
    </global-results>

    <action name="indexAction" class="com.mail.action.MailStatisticAction">
              <result name="portal">/WEB-INF/page/webMail/portal.jsp</result>
              <result name="login" type="chain">
                <param name="actionName">webMailAction</param>
                <param name="namespace">/webMail</param>
                <param name="method">mailIndex</param>
              </result>
              <interceptor-ref name="defaultStack"/>
        </action>
    </package>
</struts>

三。第三种权限过滤是spring中的Acegi安全系统,这个功能很强大,有模型。在《spring inAction》有介绍,没有仔细研究过。

Acegi系统已经由spring独立作为一个子项目发布了,名字叫“security”。官方地址在:http://static.springframework.org/spring-security/site/index.html. 

这是一整套的安全解决方案,不仅仅只是登陆验证,还可以用来做复杂的权限模型



chan_john
关注
专栏目录
Struts2实现权限控制
ITSTAR
10-07 2033
Struts2的核心功能是通过一个个interceptor来实现的,那么用户可以自定义一个interceptor来实现权限控制功能。    步骤一:自定义一个类,该类实现Interceptor接口,重写其intercept()方法。如: package edu.interceptor; import com.opensymphony.xwork2.ActionContext; import
struts2权限验证
Java海洋
12-14 1422
References:《Struts 2 的拦截器(三)》[1],《FilterInterceptor的区别》[2],      之前的Struts2项目通过再Sitemesh的母版页使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不
[Struts2应用开发] 统一登录验证
人生最遗憾的莫过于:轻易地放弃了不该放弃的,固执地坚持了不该坚持的
05-07 479
在日常的开发过程,我们时常需要在做某个Action操作前,验证用户是否已登录,若用户尚未登录,则跳转至登录页面;若已登录,则获取当前的用户信息,并进行下一步的操作。 Struts2访问Session 获取用户信息,我们自然想到了Session。而在Struts2访问Session可以通过两种途径: 1. 通过ActionContext的getSession方法来回获取Ses...
Struts2下的用户权限验证问题解决方法
C4pt4in pro
10-23 726
    【IT168 技术文档】前段时间作了一个简单的系统,其涉及到后台管理,当然也就遇到了权限验证的问题,由于初次做J2EE项目,所有这些东西懂我来说都是个开始。    对于权限验证,如果程序由目录划分,如管理员访问的页面都放在admin下,这样我们可以写一个权限验证的过滤器,然后配置admin目录都要经过这个过滤器即可。这样对于jsp页面的权限验证比较容易。但对于action(控制器类)
struts2-登陆校验
hnffjncf的博客
11-27 335
输入校验:(对用户输入的数据,判断用户输入的数据是否合法,一般会使用正则表达式) 一.客户端校验: 过滤正常用户的误操作,通过JS代码完成(可以绕开). 二.服务端校验: 整个应用阻止非法数据的最后防线(必须),使用Java代码. 三.数据库校验:在保存数据进数据库时候,对数据的合法性做校验 Struts2校验方式: 1.代码方式校验:开发常用; 2.配置校验: 2.1.基于XML配置校验(...
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
Struts2是一个非常流行的Java MVC框架,用于构建企业级Web应用程序。然而,它在历史上曾出现过多个安全漏洞,其最著名的就是“Struts2漏洞”。这个标题和描述提到的"struts2-scan"是一种工具,专门用来检测Struts2...
ssh-jbpm.rar_jbpm stru_jbpm-web-test_ssh_struts2_struts2 jbpm
09-21
2. **Interceptor**:拦截器是Struts2的重要组件,可以实现如日志、权限验证等通用功能,提高代码复用性。 3. **Result**:负责将Action执行的结果呈现给用户,可以是JSP、FreeMarker或其他视图技术。 4. **配置...
struts-2.3.31-all.zip
07-22
1. **Action与Result**:Struts2的核心是Action类,它代表了一个具体的用户请求。开发者可以定义Action类来处理请求,并通过配置返回不同的Result类型来决定响应的结果,如跳转到一个新的页面或者输出JSON数据。 ...
struts2 用拦截器 实现用户权限登录
11-14
Struts2,拦截器按照预定义的顺序链式调用,可以处理如日志、事务管理、权限验证等通用任务,而无需在每个Action类重复编写这些代码。 要实现用户权限登录,我们需要创建自定义拦截器。这个拦截器的主要职责...
struts2-crud.zip_DEMO_Java web CRUD demo_struts2 CRUD_struts2 de
09-19
1. **Action类**:在Struts2,业务逻辑主要由Action类处理。每个Action类对应一个用户请求,负责处理用户的请求并返回相应的结果。 2. **配置文件**:Struts2的配置文件(通常为struts.xml)用于定义Action类、...
Struts2】实现用户登录登录验证简单示例
weixin_46329748的博客
05-30 1568
一、Struts2相关文件配置 1.导入jar包: 2.配置web.xml文件: <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class> </filter> &
软件测试webtours飞机票bug档案,【松勤软件性能测试】Web Tours无法打开,怎么办?...
weixin_28972031的博客
07-25 926
1.开始->所有程序->HP LoadRunner -> Samples->Web->Start Web Server弹出如下提示框,点击Setup2.HP LoadRunner -> Samples->Web->HP Web Tours Application,可打开Web Tours网页3.Web Tours默认的用户名和密码:默认用户:jojo...
WebTours+badboy + Jmeter测试
apowers的博客
06-12 1742
软件测试的简单操作
LoadRunnerWeb Tours默认及创建用户名和密码
奋斗的小小鱼
10-03 7607
默认用户名和密码:   系统自带两个用户名和密码,在LoadRunner安装目录下:~\WebTours\MercuryWebTours\users 1、用户名:joe,密码:young 2、用户名:jojo,密码:bean 创建用户名和密码: 1、首先在窗口打开LoadRunner自带的Web Tours的服务 Start Web Server,成功后电脑右下角会出现绿色的图标(表示启...
Struts2进阶】Struts2拦截器实现基于Url的权限管理
陌上花开,可缓缓归矣
03-16 4203
Struts2的拦截器只能拦截Action,拦截器是AOP的一种实现方式,可以使我们的系统架构更松散(耦合度低),可以插拔,容易互换,代码不改变的情况下很容易满足客户需求。项目的权限管理模块就使用到了Struts2的拦截器,原理是这样的,我们来自定义一个拦截器,拦截所有的Action请求,对用户的登录状态和权限信息进行判断。如果用户为登录状态且有足够的权限,则继续访问;若未登录,则为其跳转到登录页面
Spring 使用 @EhCache 注解作为缓存
最新发布
龚小帅的博客
10-15 1363
Spring 有一个内置的 EhCache 缓存管理器。这适用于大多数缓存情况,但我发现定义自定义缓存管理器非常有用,因为它允许我使用相同的缓存管理器以编程方式或通过注释控制缓存。本文重点介绍 annotations,但让我们继续定义一个自定义缓存管理器,以便在需要时做好准备。如果您更喜欢坚持使用 默认缓存管理器 ,您可以跳过此步骤。我们将在 :super();
Spring相关技术】spring进阶-自定义请求报文转对象HttpMessageConverter
wendao76的专栏
10-14 1371
首先,我们创建一个类,继承自@Override> clazz) {@Override// 假设MyObject的构造函数接受一个字符串@Override// 假设我们要将MyObject转换成字符串进行输出接下来,我们需要在Spring MVC的配置注册我们的自定义转换器。如果你使用的是Java配置,可以像下面这样实现@Override// 如何自定义的转换器与默认转换器冲突,可以将自己的转换器放到默认转换器前面。
Struts2登录验证详解:配置篇
命名空间在Struts2至关重要,它用于避免同一Web应用Action名称冲突。通过为包设置`namespace`属性,可以明确Action的处理URL,如`http://localhost:8080/userlogin_struts2/manage/backLogin.action`,这类似于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值